Quienes me han leído o escuchado saben que soy un crítico a la legislación chilena sobre protección de datos personales. Es más, me molesta la actitud de las autoridades que, por años, declaran la importancia de cambiar nuestra ley, pero no toman decisiones concretas y de fondo, necesarias para equilibrar la cancha. Una ley sin garantías de eficacia como la que tenemos desde fines de los noventa, legaliza la pasividad en el cuidado de los datos y favorece el uso abusivo de nuestra información personal.
Sin embargo, en esta oportunidad quiero situarme en el paso siguiente a la creación de una ley de protección de datos personales, sea la actual u otra, modificada. No basta con dictar la ley aunque tenga los más altos estándares internacionales de resguardo a nuestros derechos, si ella no se materializa por parte de los destinatarios de ella. Es fundamental ir desde el texto de una ley de datos personales, en donde nos reconoce derechos, principios y obligaciones, al hecho concreto de cumplirla.
Me interesa que no se descuide el foco de atención al tema, pensando que al dictarse o modificarse la ley, mágicamente estaremos protegidos en nuestros derechos frente a los abusos en el tratamiento de datos personales. Ahí terminará la tarea de las autoridades que la crean y comenzará la labor de todos quienes nos regimos por esas normas.
La pregunta que sigue, entonces, es cómo se cumple una ley de protección de datos.
Para responder, primero hay que tener presente el sentido de una ley de protección de datos personales, es decir, por qué es necesario legislar esta materia. Todos nosotros tenemos información que nos concierne, que se asocia a nuestra identidad y que, en mayor o menor medida, nos define como personas. Desde nuestros datos más públicos como el nombre, el RUT (sí, a esta altura nuestro RUT lo conoce cualquiera) o la profesión; pasando por otros vinculados a nuestros hábitos o comportamientos; y llegando a aquellos sensibles por estar referidos a aspectos más propios de la intimidad, como nuestra religión o la información de salud.
Ahora bien, esos datos pueden ser (y son) utilizados por otros, sobre todo por quienes ni siquiera conocemos. Entonces, ¿qué podemos hacer cuando esos terceros toman decisiones a partir de nuestros datos y ellas nos afectan? Piense, por ejemplo, por qué no logra un ascenso en el trabajo o por qué no le concedieron un préstamo. Claro, por los datos que tienen de usted y la forma -arbitraria muchas veces- en que los interpretan.
Frente a esa vulnerabilidad en que nos encontramos, se dictan leyes para regular el uso que se haga con esa información. En concreto, esas leyes nos dan herramientas para mantener un control relativo sobre el uso de nuestros datos, por ejemplo, autorizando previamente el tratamiento o exigiendo que se corrijan o eliminen si es procedente. Asimismo, establece límites sobre la forma en que esos terceros (sean órganos públicos o particulares) pueden utilizar nuestra información.
De este modo, resulta fundamental que contemos no solo con una ley de protección de datos (como la actual ley 19.628 o las modificaciones que vienen), sino principalmente que ella se cumpla por todos quienes utilizan bases de datos.
Lamentablemente acá veo otro problema con la conformidad de muchos frente a estas leyes. Me refiero a quienes creen que cumplen la ley por el solo hecho de no estar infringiéndola. Esa actitud pasiva resulta absolutamente insuficiente para que nuestros datos personales se utilicen equilibradamente.
Un ejemplo. Imagine que su empresa cree que cumple la ley de protección de datos porque no los comercializa, no los entrega a terceros o porque los recolectó directamente de los titulares. Sin embargo, si un día voy y pido acceso a mis datos, ya que quiero saber para qué los utilizan, ¿sabrán indicarme con quién debo hablar y de qué forma me conceden acceso? ¿Debo pagar por actualizar mi información y cuánto? Por otro lado, ¿sabe qué tipo de datos personales tiene en sus registros y si acceden a ellos solo el personal autorizado? En fin, son preguntas que no se responden diciendo “nuestra empresa cumple la ley porque no la infringe”. Ello es absolutamente insuficiente.
Por esa razón planteo que las leyes de protección de datos deben implementarse, es decir, solo se cumplen si los responsables de las bases de datos adoptan una postura activa.
Por ejemplo, en dicha implementación de la ley de protección de datos será necesario que su empresa adopte una orgánica apropiada, con encargados de velar por el cumplimiento de las exigencias legales; con procedimientos documentados que instrumentalicen el ejercicio de las facultades que reconocen estas normas; con medidas de seguridad, concretas y apropiadas a los riesgos propios de los distintos tipos de datos personales que posea.
Por supuesto acá hay necesidad de concretar medidas, algunas de ellas con costos asociados, y con distinto grado de complejidad para materializarlas. En esas condiciones, la implementación de la ley supone distintos proyectos, tanto organizativos, como regulatorios o técnicos y supondrá inversiones que no todas las empresas estarán dispuestas a realizar.
Sin embargo, mirar el cumplimiento de la ley de protección de datos únicamente como un gasto tiene un elevado riesgo, sobre todo si por esa razón no se implementan medidas concretas. Basta pensar si una empresa está dispuesta a protagonizar un incidente sobre los datos de sus clientes (como fugas de información o hackeos a sus bases de datos). ¿Seguirá dispuesta a mantener una posición pasiva sobre implementar medidas de seguridad para los datos personales? Hay costos mucho mayores en imagen corporativa, confianza y, en definitiva, en continuidad de negocio.
Creo que es hora de mirar distinto dichas inversiones, en donde las empresas demostrarían respeto por sus clientes en algo tan esencial como el resguardo de sus datos personales.
En definitiva, recordemos que cumplir la ley de protección de datos personales no es sinónimo de evitar infringirla, sino de implementarla.